1、入侵檢測安全解決方案摘要：隨著網(wǎng)絡(luò)技術(shù)的迅速發(fā)展網(wǎng)絡(luò)安全逐漸成為一個潛在的大問題但是長期以來，關(guān)注網(wǎng)絡(luò)上信息傳遞的準(zhǔn)確性、速度如何，忽視了信息的安全問題，導(dǎo)致連接到網(wǎng)絡(luò)的計算機(jī)越來越頻繁地受到攻擊。因此，維護(hù)計算機(jī)系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)和整個信息基礎(chǔ)結(jié)構(gòu)的安全成為一項緊迫的任務(wù)。本文首先介紹了入侵檢測的概念和基本模型，然后分別按不同類別介紹了其技術(shù)特征。關(guān)鍵字：開發(fā)網(wǎng)絡(luò)安全、入侵檢測、入侵檢測系統(tǒng)、蠕蟲和入侵檢測系統(tǒng)簡介：隨著互聯(lián)網(wǎng)的迅速膨脹和電子商務(wù)的出現(xiàn)，越來越多的企業(yè)和政府部門依靠互聯(lián)網(wǎng)傳遞信息。但是，由于網(wǎng)絡(luò)的開放性和共享性，容易受到外部攻擊和破壞，信息的安全保密受到了嚴(yán)重影響。與此同時，網(wǎng)絡(luò)

2、黑客的攻擊也逐漸肆虐。人們發(fā)現(xiàn)保護(hù)資源和數(shù)據(jù)不受惡意入侵者的侵?jǐn)_是非常重要的。因此，保護(hù)計算機(jī)系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)和整個信息基礎(chǔ)設(shè)施的安全成為一項緊迫的重要任務(wù)，入侵檢測技術(shù)應(yīng)運(yùn)而生。正文：網(wǎng)絡(luò)的拓?fù)浞治霾榭淳W(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖，可以看到該網(wǎng)絡(luò)被分隔為辦公室局域網(wǎng)、服務(wù)器網(wǎng)絡(luò)和外部網(wǎng)絡(luò)服務(wù)器，通過防火墻連接到internet。辦公室LAN有交換機(jī)和一些客戶端。對于辦公室LAN，每臺計算機(jī)都處于同等位置，這兩臺計算機(jī)之間的通信不通過其他節(jié)點(diǎn)，而是位于競爭和共享總線結(jié)構(gòu)中。此網(wǎng)絡(luò)適用于管理簡單、安全控制要求不高的小型網(wǎng)絡(luò)。服務(wù)器網(wǎng)絡(luò)包括目錄服務(wù)器、郵件服務(wù)器等，通過核心交換機(jī)通過防火墻連接到外部網(wǎng)絡(luò)服務(wù)器，通

3、過外部網(wǎng)絡(luò)防火墻連接到internet。網(wǎng)絡(luò)拓?fù)浒踩⒁馐马椌W(wǎng)絡(luò)拓?fù)浜途W(wǎng)絡(luò)的安全關(guān)系非常大，即使設(shè)備再好，拓?fù)湟膊缓侠?，結(jié)構(gòu)設(shè)計存在問題，在網(wǎng)絡(luò)內(nèi)部(而不是網(wǎng)絡(luò)和外部的出口)放置防火墻旋轉(zhuǎn)，以防止整個網(wǎng)絡(luò)遭到外部入侵。設(shè)計網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)將縮小進(jìn)出口，并將防御設(shè)備放置在網(wǎng)絡(luò)入口(尤其是防火墻和路由器)的網(wǎng)絡(luò)邊緣，并且每個入口都必須存在。內(nèi)部網(wǎng)防火墻是一種主動措施，它允許與內(nèi)部網(wǎng)絡(luò)和互聯(lián)網(wǎng)或其他外部網(wǎng)絡(luò)隔離，限制網(wǎng)絡(luò)互訪以保護(hù)內(nèi)部網(wǎng)絡(luò)。防火墻只能通過路由器實(shí)施，復(fù)雜的話，可以在單個主機(jī)或子網(wǎng)上實(shí)施。設(shè)置防火墻的目的是在內(nèi)部網(wǎng)和外部網(wǎng)之間建立唯一的通道，以簡化網(wǎng)絡(luò)的安全管理。防火墻的功能包括：1、不安

4、全服務(wù)和非法用戶過濾2、特殊站點(diǎn)訪問控制3、提供方便的端點(diǎn)，以監(jiān)控互聯(lián)網(wǎng)安全和警報由于互聯(lián)網(wǎng)的開放性，具有多種防御功能的防火墻也具有一些預(yù)防功能。1、防火墻不能阻止不通過防火墻的攻擊。例如，如果允許在受保護(hù)的網(wǎng)絡(luò)內(nèi)不受限制的外部撥號，則某些用戶可以直接連接到internet，繞過防火墻，創(chuàng)建潛在的后門攻擊通道。2、防火墻不能阻止感染病毒的軟件或文件的傳輸。這只能在每個主機(jī)上安裝防病毒軟件。3、防火墻不能阻止基于數(shù)據(jù)的攻擊。基于數(shù)據(jù)的攻擊發(fā)生在看似無害的數(shù)據(jù)被發(fā)送或復(fù)制到互聯(lián)網(wǎng)主機(jī)并受到攻擊的情況下。因此，防火墻只是一種整體安全預(yù)防政策的一部分。這些安全策略必須包括公開的安全指導(dǎo)、員工培訓(xùn)計劃和

5、網(wǎng)絡(luò)訪問、本地和遠(yuǎn)程用戶身份驗(yàn)證、撥入呼叫撥號、磁盤和數(shù)據(jù)加密，以及防病毒相關(guān)策略，以便用戶知道自己的責(zé)任。2.網(wǎng)絡(luò)的安全威脅此網(wǎng)絡(luò)的特點(diǎn)是辦公室局域網(wǎng)和服務(wù)器網(wǎng)絡(luò)。在這種情況下，網(wǎng)絡(luò)面臨多種安全威脅，包括：(1)黑客攻擊，特別是假源地址的拒絕服務(wù)攻擊頻繁。攻擊者可以通過一些簡單的攻擊工具來創(chuàng)建網(wǎng)絡(luò)急流，這種急流非常危險，足以耗盡網(wǎng)絡(luò)資源或攻擊主機(jī)系統(tǒng)資源。但是，攻擊者往往通過偽造源地址的方法，使網(wǎng)絡(luò)管理員對這些攻擊無能為力。(2)在病毒和蠕蟲、高速大容量LAN中，各種病毒和蠕蟲不管新舊，都很容易通過粗心的用戶或有漏洞的系統(tǒng)迅速擴(kuò)散。特別是新型網(wǎng)絡(luò)蠕蟲，在爆發(fā)初期的幾個小時內(nèi)，會突然席卷全校，

6、導(dǎo)致網(wǎng)絡(luò)停滯，甚至癱瘓。3)網(wǎng)絡(luò)資源的濫用可能會影響其他用戶或整個網(wǎng)絡(luò)的正常使用，因?yàn)樾@網(wǎng)絡(luò)中帶寬等資源的濫用。多種掃描、廣播、過多的訪問視頻下載服務(wù)等。3系統(tǒng)功能要求針對上述安全威脅的入侵檢測系統(tǒng)(IDS)必須滿足以下要求：(1)確保攻擊成功?；谥鳈C(jī)的IDS使用發(fā)生的事件信息，因此，與基于網(wǎng)絡(luò)的IDS相比，它可以更準(zhǔn)確地確定攻擊是否成功。在這方面，基于主機(jī)的IDS完全補(bǔ)充了基于網(wǎng)絡(luò)的IDS，網(wǎng)絡(luò)部分可以盡快提供警報，主機(jī)部分可以決定攻擊是否成功。(2)監(jiān)控特定系統(tǒng)活動?；谥鳈C(jī)的IDS監(jiān)視用戶和文件訪問活動，包括文件訪問、文件權(quán)限更改、嘗試設(shè)置新的可執(zhí)行文件和嘗試訪問特殊設(shè)備。例如，基于

7、主機(jī)的IDS可以監(jiān)視所有用戶的登錄和網(wǎng)絡(luò)狀態(tài)，以及每個用戶連接到網(wǎng)絡(luò)后的行為。對于基于網(wǎng)絡(luò)的系統(tǒng)，這一點(diǎn)非常困難?；谥鳈C(jī)技術(shù)，還可以監(jiān)視管理員只能實(shí)施的異常行為。操作系統(tǒng)將記錄用戶帳戶的所有增加、刪除和更改，如果發(fā)生更改，基于主機(jī)的IDS將識別這些不適當(dāng)?shù)母?。基于主機(jī)的IDS還審核影響系統(tǒng)記錄的驗(yàn)證措施的更改。基于主機(jī)的系統(tǒng)可以監(jiān)視關(guān)鍵系統(tǒng)文件和可執(zhí)行文件的更改。系統(tǒng)可以復(fù)蓋重要的系統(tǒng)文件，或找到安裝木馬或后門的嘗試，并阻止它?；趙eb的系統(tǒng)有時無法驗(yàn)證此行為。(3)基于網(wǎng)絡(luò)的系統(tǒng)可以確定無法確認(rèn)的攻擊?；谥鳈C(jī)的系統(tǒng)可以檢測基于網(wǎng)絡(luò)的系統(tǒng)無法識別的攻擊。例如，主服務(wù)器鍵盤的攻擊不會通過

8、網(wǎng)絡(luò)，因此可以避免基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)。(4)適用于加密和交換環(huán)境。交換機(jī)設(shè)備可以將大型網(wǎng)絡(luò)分成多個較小的網(wǎng)絡(luò)部件進(jìn)行管理，因此很難從涵蓋足夠網(wǎng)絡(luò)范圍的角度確定配置基于網(wǎng)絡(luò)的IDS的最佳位置。業(yè)務(wù)映射和交換機(jī)上的管理端口會有所幫助，但這些技術(shù)有時不適合。基于主機(jī)的入侵檢測系統(tǒng)可以安裝在所需的關(guān)鍵主機(jī)上，在交換環(huán)境中具有更高的可見性。部分加密方式也挑戰(zhàn)了基于網(wǎng)絡(luò)的入侵檢測。由于加密位于協(xié)議棧內(nèi)，基于網(wǎng)絡(luò)的系統(tǒng)可能對特定攻擊沒有反應(yīng)?；谥鳈C(jī)的IDS沒有此限制，在基于OS和基于主機(jī)的系統(tǒng)上查看即將發(fā)生的業(yè)務(wù)時，數(shù)據(jù)流已解密。(5)幾乎實(shí)時檢測和響應(yīng)?；谥鳈C(jī)的入侵檢測系統(tǒng)不能提供真正的實(shí)時響應(yīng)，

9、但是如果應(yīng)用得當(dāng)，響應(yīng)速度可能會非常接近實(shí)時。舊式系統(tǒng)利用按預(yù)定義的時間間隔檢查注冊文件的狀態(tài)和內(nèi)容的過程，與舊式系統(tǒng)不同，它可以立即處理當(dāng)前基于主機(jī)的系統(tǒng)的中斷命令，從攻擊驗(yàn)證到響應(yīng)時間，從操作系統(tǒng)記錄到基于主機(jī)的系統(tǒng)識別結(jié)果的時間有所延遲，但多數(shù)情況下，在破壞發(fā)生之前，可以發(fā)現(xiàn)入侵者并停止其攻擊。(6)不需要其他硬件設(shè)備?；谥鳈C(jī)的入侵檢測系統(tǒng)存在于當(dāng)前網(wǎng)絡(luò)結(jié)構(gòu)中，包括文件服務(wù)器、web服務(wù)器和其他共享資源。這使得基于主機(jī)的系統(tǒng)非常高效。無需在網(wǎng)絡(luò)上單獨(dú)安裝注冊、維護(hù)和管理的硬件設(shè)備。(7)記錄成本更低。基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)比基于主機(jī)的入侵檢測系統(tǒng)貴得多。4.入侵檢測安全解決方案單個保護(hù)

10、是最好的方法，使用多層安全措施將各種安全因素(如防病毒軟件、防火墻和安全漏洞檢測工具)組合在一起，以創(chuàng)建比單個保護(hù)功能有效得多的綜合保護(hù)屏障。分層安全保護(hù)功能將黑客攻擊的成本和困難加倍，大大減少了對該網(wǎng)絡(luò)的攻擊。在內(nèi)部網(wǎng)防火墻后面添加IDS入侵檢測系統(tǒng)，在外部網(wǎng)和互聯(lián)網(wǎng)之間添加IDS入侵檢測系統(tǒng)，入侵檢測系統(tǒng)中存在漏洞，通過防火墻配置提供可靠的安全性。風(fēng)險管理系統(tǒng)是發(fā)現(xiàn)、挖掘和報告網(wǎng)絡(luò)安全漏洞的漏洞和風(fēng)險評估工具。防病毒軟件的應(yīng)用也是多層安全的必要措施。防病毒軟件經(jīng)過專門設(shè)計，可以防止已知或未知的病毒感染企業(yè)的信息系統(tǒng)。目標(biāo)很強(qiáng)，但需要持續(xù)更新。入侵檢測系統(tǒng)入侵檢測系統(tǒng)是監(jiān)視入侵或控制用戶系統(tǒng)

11、或網(wǎng)絡(luò)資源的這種努力的系統(tǒng)。入侵檢測系統(tǒng)是分層安全日益普遍采用的組件，將有效地提高黑客進(jìn)入網(wǎng)絡(luò)系統(tǒng)的門檻。入侵監(jiān)控系統(tǒng)可以通過向管理員發(fā)出入侵或入侵嘗試來加強(qiáng)當(dāng)前的訪問控制系統(tǒng)，例如防火墻。識別防火墻通常無法識別的攻擊，例如企業(yè)內(nèi)部的攻擊。在發(fā)現(xiàn)入侵嘗試后，提供移植系統(tǒng)所需的信息。對于入侵檢測系統(tǒng)工具，基于主機(jī)和基于網(wǎng)絡(luò)的兩條腿平行。從基于主機(jī)的角度看，ITA入侵檢測系統(tǒng)中唯一基于規(guī)則的實(shí)時中央管理主機(jī)監(jiān)控系統(tǒng)，可以識別和響應(yīng)網(wǎng)絡(luò)邊界和網(wǎng)絡(luò)內(nèi)部的外部攻擊和可疑行為。從功能上檢測潛在風(fēng)險，包括審計日志外部異常的“蓋印”，并根據(jù)安全管理員設(shè)置的規(guī)則對這些“蓋印”進(jìn)行分類和適當(dāng)?shù)姆磽簟TA代表網(wǎng)絡(luò)

12、IDS技術(shù)的發(fā)展趨勢，在主動安全保護(hù)方面具有創(chuàng)新性。NetProwler是基于網(wǎng)絡(luò)的動態(tài)入侵檢測系統(tǒng)，它提供了動態(tài)、實(shí)時、透明的網(wǎng)絡(luò)IDS以記錄日志，同時停止內(nèi)部和外部黑客的未經(jīng)授權(quán)的使用、誤用和濫用。特別是對于動態(tài)擴(kuò)展攻擊功能庫，NetProwler可以使用SDSI虛擬處理器立即展開定制攻擊信號，并停止嚴(yán)重的惡意攻擊。通常，企業(yè)可以防止網(wǎng)絡(luò)檢測、系統(tǒng)誤用和內(nèi)部、遠(yuǎn)程，甚至是授權(quán)用戶執(zhí)行的其他惡意行為。此外，它還可以作為戰(zhàn)略工具，幫助安全管理員制定可靠的應(yīng)對措施，防止未來的攻擊。在實(shí)施基于網(wǎng)絡(luò)的IDS系統(tǒng)的同時，將代理添加到特定的重要主機(jī)是更為復(fù)雜的戰(zhàn)略。因?yàn)榛谥鳈C(jī)的IDS可以與基于網(wǎng)絡(luò)的I

13、DS并行補(bǔ)充優(yōu)點(diǎn)。網(wǎng)絡(luò)部分提供早期警告，基于主機(jī)的部分提供對攻擊是否成功的分析和確認(rèn)。因此，企業(yè)將Simon的NetProwler與Intruder Alert一起使用可以獲得更好的結(jié)果。防火墻因此，防火墻成為多層安全所需的層。為了讓一個防火墻提供穩(wěn)定可靠的安全性，必須跟蹤流經(jīng)它的所有通信信息。出于控制目的，防火墻必須首先獲取所有通信層和其他應(yīng)用程序的信息，然后存儲、重新獲取和控制這些信息。狀態(tài)信息(以前的通信和其他應(yīng)用程序信息)是控制新通信連接的最基本要素，因此僅在防火墻中檢查單獨(dú)的數(shù)據(jù)包是不夠的。對于通信連接，通信狀態(tài)(以前的通信信息)和應(yīng)用狀態(tài)是控制該連接的重要因素。因此，要確保高水平的

14、安全性，防火墻必須能夠訪問、分析和利用通信信息、通信狀態(tài)和應(yīng)用狀態(tài)，并處理信息對于防火墻，本機(jī)應(yīng)用程序代理防火墻產(chǎn)品更安全、更快，并且可以輕松管理與公司網(wǎng)絡(luò)的集成。獨(dú)特的混合體系結(jié)構(gòu)整合了多種功能，易于集中管理，從而為企業(yè)提供全面的安全功能。風(fēng)險管理系統(tǒng)風(fēng)險管理系統(tǒng)是發(fā)現(xiàn)、挖掘和報告網(wǎng)絡(luò)安全漏洞的漏洞和風(fēng)險評估工具。的風(fēng)險管理系統(tǒng)不僅可以檢測和報告漏洞，還可以證明漏洞發(fā)生的位置和發(fā)生的原因。在系統(tǒng)之間共享信息，繼續(xù)檢測各種漏洞，直到發(fā)現(xiàn)所有安全漏洞。您還可以發(fā)現(xiàn)漏洞，以確定檢測到的漏洞是否是真正的漏洞，從而提供更高的可靠性。因此，風(fēng)險分析更加準(zhǔn)確，管理員可以將風(fēng)險級別最高的漏洞放在優(yōu)先位置。對

15、于風(fēng)險管理解決方案，ESM是基于主機(jī)的安全漏洞掃描和風(fēng)險評估工具，它簡化了整個安全策略設(shè)置和安全流程，從而最大限度地檢測系統(tǒng)內(nèi)部安全漏洞故障，使管理員能夠快速評估和采取措施，評估其網(wǎng)絡(luò)安全基礎(chǔ)架構(gòu)中存在的潛在漏洞。NetRecon基于整個網(wǎng)絡(luò)視圖進(jìn)行風(fēng)險評估，同時在入侵者利用常見安全漏洞并實(shí)施攻擊之前識別漏洞，從而保護(hù)網(wǎng)絡(luò)和系統(tǒng)。NetRecon通過自動發(fā)現(xiàn)和評估網(wǎng)絡(luò)漏洞，安全地模擬常見入侵和攻擊，在系統(tǒng)之間共享信息，繼續(xù)檢測和準(zhǔn)確報告各種漏洞，直到發(fā)現(xiàn)所有安全漏洞，并推薦糾正措施。在企業(yè)網(wǎng)絡(luò)系統(tǒng)風(fēng)險評估過程中，安全漏洞掃描工具(包括基于主機(jī)的ESM)僅限于在一個位置自動執(zhí)行和集成整個網(wǎng)絡(luò)系統(tǒng)

16、，尤其是基于其他網(wǎng)絡(luò)協(xié)議的網(wǎng)絡(luò)風(fēng)險評估的規(guī)劃、管理和控制任務(wù)。蜜罐(蜜罐)蜜罐是在互聯(lián)網(wǎng)上運(yùn)行的計算系統(tǒng)。旨在引誘和引誘非法入侵他人計算機(jī)系統(tǒng)的人，例如計算機(jī)黑客，蜂蜜罐系統(tǒng)是包含漏洞的引誘系統(tǒng)，該系統(tǒng)模擬一個或多個脆弱的主機(jī)，提供容易攻擊攻擊者的目標(biāo)。因?yàn)槊酃薏皇窍蛲饨缣峁┱嬲袃r值的服務(wù)，所以對蜜罐的所有嘗試都被認(rèn)為是可疑的。蜜罐的另一個用途是延遲對攻擊者實(shí)際目標(biāo)的攻擊，使攻擊者在蜜罐上浪費(fèi)時間。簡單地說：蜜罐是用陷阱捕捉攻擊者。防毒軟體防病毒軟件的應(yīng)用也是多層安全的必要措施。防病毒軟件經(jīng)過專門設(shè)計，可以防止已知或未知的病毒感染企業(yè)的信息系統(tǒng)。目標(biāo)很強(qiáng)，但需要持續(xù)更新。最新的Norton anti virus enterprise 7.6版為臺式計算機(jī)和文件服務(wù)器提供全面的防病毒保護(hù)，并支持多級防病毒部署以保護(hù)企業(yè)資產(chǎn)。此外，Norton anti virus enterprise 7.6版還針對兩種類型的郵件服務(wù)器設(shè)計了自動電子郵件防病毒和內(nèi)容篩選功能，特別是Microsoft Exchange/Lotus Notes。Norton anti virus enterprise 7.6版的郵件服務(wù)器保護(hù)功能，只需一次檢查即可檢測惡意程序和病毒，隔離有毒或可疑的電子郵件，從而極大地保護(hù)公司的郵件系統(tǒng)。多層